コンテンツにスキップ

ウェブアプリケーションセキュリティアセスメント🔗

サービス概要🔗

Secureworksは、1つのウェブアプリケーションに対してウェブアプリケーションセキュリティアセスメントを実施します。これには、アプリケーションの状態を分析して脆弱性を特定し、最終レポートをお客様に提供することが含まれます。Secureworksは、アプリケーションテストの業界フレームワークに基づいた独自の手法を用います。これには、Open Web Application Security Project (OWASP) テストガイド、Open Source Security Testing Methodology Manual (OSSTMM)、ベンダー固有のセキュリティドキュメント、そしてSecureworksチームメンバーの経験が含まれます。

サービス手法🔗

Secureworksは、最初のミーティングをスケジュールし、エンゲージメントルール、工数、スコープ、リスク受容、レポート要件、テストのタイムラインおよびスケジュールを確定します。

アセスメントは以下の手順で実施されます。

自動テスト:

偵察およびアプリケーションマッピングのために、自動化ツールを使用してアプリケーションを迅速に列挙・マッピングし、手作業では多大な労力がかかる作業を実施します。これらのツールは、構成上の問題、既知の脆弱性、ウェブアプリケーションの一般的なエラーを検出します。初期スキャンが完了した後、Secureworksは手動で結果を分析・検証し、誤検知を排除し、発見事項に現れる顕著なパターンを特定します。自動テストでは、既知のインジェクション脆弱性、エラーハンドリングの問題、既知の構成上の問題、既知のプラットフォームやコードベースの脆弱性、本番システムに保存されたバックアップファイルなど、潜在的な脆弱性が明らかになります。

手動テスト:

Secureworksは、追加の脆弱性検証や脆弱性に対するエクスプロイトを実施するため、アプリケーションに対して手動テストを行います。手動テストには、アクセス制御の確認、変数の操作(例:クッキーの改ざん)、ビジネスロジックのテスト、軽微な低重大度の脆弱性を組み合わせて高重大度のエクスプロイトを作成することが含まれます。手動テストでは、以下のよく知られた脆弱性カテゴリを調査します:Open Web Application Security Project (OWASP) Top 10および過去のOWASP脆弱性。

手動テストでは、少なくとも以下の脆弱性カテゴリを確認します。

OWASP Top 10:

  • インジェクション
  • 認証の不備
  • 機密データの露出
  • 拡張マークアップ言語("XML")外部エンティティ("XXE")
  • アクセス制御の不備
  • セキュリティ設定ミス
  • クロスサイトスクリプティング("XSS")
  • 安全でないデシリアライゼーション
  • 既知の脆弱性を持つコンポーネントの使用
  • ログおよび監視の不十分さ

過去のOWASP脆弱性:

  • 不正なファイル実行
  • 情報漏洩および不適切なエラーハンドリング
  • 未検証の入力
  • バッファオーバーフロー
  • URLアクセス制限の失敗
  • 安全でない暗号化ストレージ
  • トランスポート層保護の不十分さ
  • セッション管理
  • 安全でない直接オブジェクト参照
  • 機密データの露出
  • 機能レベルのアクセス制御の欠如
  • クロスサイトリクエストフォージェリ(CSFR)
  • 未検証のリダイレクトおよびフォワード

修正検証:

Secureworksは、最終レポートに記載された高・重大度の発見事項に対してのみ、1回の修正検証(RV)を実施します。最終レポートが納品された後、お客様は90日以内に問題を修正し、RVをスケジュールし、SecureworksにRVの実施を依頼する必要があります。RVのリクエストは、最終レポート納品から30日以内にWebサービステストのSecureworks担当者宛にメールで提出する必要があり、これを過ぎるとRVの権利は失効します。Secureworksは、RVの結果を要約した簡易レポートを発行し、問題が正常に修正されたかどうかの情報を含みます。

注意: Secureworksは、Webサービステストがオンサイトで実施されたかどうかに関わらず、RVはリモートでのみ実施します。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれる場合があります。

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、説明、および推奨事項(該当する場合)
  • 関連する詳細および補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出することができます。レビュー期間満了までにお客様からコメントがない場合、レポートは最終版とみなされます。

サービス完了時には、お客様が指定した連絡先に対して、Secureworksからセキュア/暗号化されたメールによる確認が送信されます。お客様指定の連絡先から書面による異議申し立てがない限り、そのメール確認から5営業日以内にサービスは完了したものとみなされます。

スコーピング情報🔗

アセスメントの購入オプションは、スモール、ミディアム、ラージがあり、ウェブアプリケーションの種類によって適切なサイズが決定されます。

スコープ 説明
ウェブアプリケーションセキュリティアセスメント - スモール 標準アプリケーション:Outlook Web Access、Wordpress、Drupal、Joomla

カスタムアプリケーション:入力項目や動的ページが限られたシンプルなウェブアプリケーション。

例:基本的な認証付きクライアントポータル
ウェブアプリケーションセキュリティアセスメント - ミディアム 標準アプリケーション:SharePoint

カスタムアプリケーション:入力項目や動的ページが多く、さらに以下のいずれかを含む中程度の複雑さを持つ認証付きアプリケーション:マルチテナントユーザー管理、20以上のREST API/AJAXメソッド、広範なカスタマイズ可能なレポート、またはエンドユーザーに公開される複雑なエコシステム(複数のデータベース、ユーザー向けクラウドストレージ等)

例:Eコマース顧客向けウェブサイト
ウェブアプリケーションセキュリティアセスメント - ラージ 標準アプリケーション:SAP、BI

カスタムアプリケーション:入力項目や動的ページが多く、以下の複数を含む複雑な認証付きアプリケーション:マルチテナントユーザー管理、20以上のREST API/AJAXメソッド、広範なカスタマイズ可能なレポート、またはエンドユーザーに公開される複雑なエコシステム(複数のデータベース、ユーザー向けクラウドストレージ等)

例:人事SaaSソリューション

作業はSecureworksコンサルタントの営業時間内に実施されます。営業時間外の対応は追加費用で利用可能です。

本サービスの完全なサービス説明はこちらをご覧ください: ウェブアプリケーションセキュリティアセスメント